CN117714149A - 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 - Google Patents
基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 Download PDFInfo
- Publication number
- CN117714149A CN117714149A CN202311720961.5A CN202311720961A CN117714149A CN 117714149 A CN117714149 A CN 117714149A CN 202311720961 A CN202311720961 A CN 202311720961A CN 117714149 A CN117714149 A CN 117714149A
- Authority
- CN
- China
- Prior art keywords
- hypervisor
- trust domain
- tenant
- trust
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000007123 defense Effects 0.000 title claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 49
- 238000007726 management method Methods 0.000 claims description 64
- 239000003795 chemical substances by application Substances 0.000 claims description 40
- 238000004422 calculation algorithm Methods 0.000 claims description 24
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 20
- 238000002955 isolation Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 14
- 238000000638 solvent extraction Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 6
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000012384 transportation and delivery Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 20
- 230000001965 increasing effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000006872 improvement Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 2
- 238000005265 energy consumption Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003860 storage Methods 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统,其中方法包括:基于云环境业务类型划分信任域,并建立信任域结构体和信任域管理线程;租户发起虚拟机或容器创建请求,Hypervisor对其进行身份认证并为租户的虚拟机或容器分配信任域;在信任域内,信任域管理线程根据放置策略组合为虚拟机或容器选择计算节点,Hypervisor维护相应数据信息;在信任域间,不同租户的虚拟机或容器发起相互通信,由Hypervisor进行身份认证并对其通信信道进行加解密防护。本发明在信任域内采用较优的放置策略组合降低同驻风险概率,在信任域间增加身份认证和加密机制减少同驻攻击横向传播风险。
Description
技术领域
本发明涉及云安全技术领域,具体涉及一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统。
背景技术
近年来,云计算以其高可靠性、强大的扩展性、按需服务和低成本等优势,迅速获得了学术界和工业界的广泛关注,并吸引了越来越多的企业和个人用户将其数据和服务迁移到云端。然而,随着云计算的快速发展,其所面临的安全和隐私问题也日益凸显。在NFV(Network FunctionsVirtualization,即网络功能虚拟化)技术架构下,云环境中的底层硬件资源被抽象封装,由Hypervisor提供接口供上层虚拟机或VNF(VirtualizationNetworkFunctions,即虚拟网络功能)调用。为了提高资源利用率并降低成本,云服务商会将不同租户的虚拟机或容器部署到同一计算结点,由软件实现的Hypervisor提供逻辑隔离。然而,逻辑隔离并不等同于真正的物理隔离,被分配到同一计算节点的虚拟机或容器,在底层CPU和内存等资源方面仍需要共享。相关研究表明,实现同驻后的攻击者可以通过构建侧信道和逃逸的方式突破Hypervisor的隔离限制,不仅可以窃取租户隐私数据,甚至可以破解加密密钥。在这种弱隔离性和无法避免的资源共享的情况下,同驻攻击逐渐成为一种危害云环境的重要威胁。此外,云环境应用的特点加剧了同驻攻击的危害,这包括:
1)云服务提供商目前缺乏有效的技术手段来区分合法租户和恶意租户,同驻现象无法根除。恶意租户始终可以通过伪装成正常租户进入云环境,且由于云环境资源的有限性,只要恶意租户启动数量足够的虚拟机或容器,就可以实现与正常租户的同驻。
2)轻量化容器等技术减小了容器部署所需的资源,同一计算节点可以放置更多的容器,同驻的概率进一步增大。恶意租户具有非常便利高效的手段来检测同驻是否成功,因此一旦攻击者完成与目标的同驻,其就可以关闭其他多余的虚拟机从而降低攻击成本。
3)多租户云环境下的应用由多个微服务组成,微服务之间频繁的相互调用扩大了同驻攻击的威胁范围,利用微服务间的通信关系,同驻攻击可以在云环境中横向传播。
按照同驻攻击的攻击目标和攻击方式不同,可以将其分为三类:
1)恶意租户和其攻击目标的虚拟机或容器同驻,恶意租户对攻击目标直接发起同驻攻击。
2)恶意租户的虚拟机或容器被部署在Hypervisor所在的计算节点上,恶意租户对Hypervisor直接发起同驻攻击。
3)恶意租户的虚拟机或容器被部署在Hypervisor所在的计算节点上,恶意租户通过渗透、利用以及控制Hypervisor的手段,间接对部署在其他计算结点的租户的虚拟机或容器发起同驻攻击。
这三种类型的同驻攻击实现难度依次递增,但其攻击成功造成的危害也逐渐增大。其中第一类和第二类同驻攻击属于直接攻击,第三类同驻攻击属于间接攻击。
实现同驻攻击的必要条件是恶意用户与攻击目标同驻,而同驻现象存在的根本原因是因为Hypervisor提供的逻辑隔离性能较差。因此,当前许多研究试图改善虚拟机和容器的隔离机制,提升其隔离性能。但是修改虚拟机和容器的隔离机制需要对当前已有的云基础设施、硬件、系统配置等做出重大修改,并且同驻攻击的种类仍在增加,这种对硬件和软件的大范围修改可能无法应对未来的新型攻击。所以当前主流的应对措施是采用安全的虚拟机放置策略,降低恶意用户和攻击目标的同驻概率,从根本上降低同驻攻击的概率。放置策略由云服务厂商进行管理,具有灵活动态的特点,实现时不需要大范围修改云环境软硬件,降低了应用成本。
Spread算法和Bin-Pack算法是云环境下常用的两种算法。Spread算法的主要思想是将待放置的虚拟机或容器尽可能分散在不同的计算节点,以实现负载均衡的目标。而Bin-Pack算法的主要思想是充分利用一个计算节点之后再考虑放置到其他节点,以减少计算节点的使用量。Spread算法具有较优的负载均衡性能,而Bin-Pack具有较高的计算节点利用率。在实际云环境中,为了综合考虑负载均衡和计算节点使用率,也会使用Random算法来随机地将虚拟机放置在计算节点中。
然而,上述三种算法在设计之初仅考虑了云环境的负载均衡和能源消耗等因素,并没有考虑对于同驻攻击的防御,因此,Han等人提出了一种称为PSSF(PreviouslySelected Server First,即优选先前服务器)的虚拟机放置策略。该策略的研究重点在于如何选择物理机,以使得虚拟机放置到物理机时同驻风险最小化。该算法结合了LAP(LeastAllocation Policy,即最小分配策略)、MAP(MostAllocation Policy,即最大分配策略)和RAP(RandomAllocation Policy,即随机分配策略),优先考虑将租户虚拟机放置到已有该租户的计算节点上。但是,该算法过于注重降低同驻风险,在负载均衡和能源消耗方面却又性能不佳。
此外,上述几种常见的放置策略仍然存在以下问题:
1)虚拟机或容器放置策略仅降低了不同租户间虚拟机和容器同驻的概率,但由于云环境资源和计算节点的有限性,同驻现象不可避免,放置策略无法从根本上提高虚拟机或容器的隔离性。
2)当前大部分放置策略并未考虑软件层Hypervisor的防护,仅将Hypervisor当成一般的云应用进行计算结点的分配,但云环境中Hypervisor具有重要地位,需要得到特殊的防护。
3)当前大部分放置策略仅考虑了针对租户的直接同驻攻击,并未考虑针对Hypervisor或基于Hypervisor发动的间接同驻攻击类型,Hypervisor与恶意租户具有较大的接触面。
4)当前大部分放置策略并未利用卸载Hypervisor的专用硬件所带来的算力提升,为虚拟机或容器分配计算节点、计算同驻攻击风险以及动态调整计算节点等计算量均由软件层Hypervisor承担。
5)当前大部分放置策略并未区分云环境中具有不同安全等级要求的虚拟机,对云环境中的所有虚拟机采取同样的保护措施,然而实际云服务平台中,大部分虚拟机不需要较高的安全保护措施,而少部分重要的虚拟机需要更高安全等级的保护。
在Hypervisor性能和安全研究方面,当前已有许多相对成熟的Hypervisor硬件卸载方案,如Intel VT-X/AM-D、SR-IOV、NUMA、KVM-QEMU等。Hypervisor硬件卸载是通过使用专用硬件承担Hypervisor的功能,减小Hypervisor的代码体量和攻击面的过程。通过硬件卸载,Hypervisor被分为软件层代理和硬件层加速引擎。云环境中的应用只能通过调用代理中的API与硬件层Hypervisor间接通信,从而降低了Hypervisor被攻击的概率。各类Hypervisor硬件卸载方案对于云环境的计算性能都有不同程度的提升,并提供了不同的安全防护功能。但是目前云服务提供商并没有将其应用于降低同驻攻击风险,Hypervisor硬件卸载带来的算力提升也并没有得到充分利用。
发明内容
针对现有技术中目前的虚拟机或容器放置策略并未有效增强云环境计算节点的逻辑隔离,同时对于针对Hypervisor的两类同驻攻击防御效果不佳,且不能满足不同安全等级保护的虚拟机需求的问题,本发明公开了一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法和系统,使用专用硬件对Hypervisor进行卸载。对于卸载后的云环境软件层采用信任域进行划分,在信任域内采用较优的放置策略组合降低同驻风险概率,在信任域间增加身份认证和加密机制减少同驻攻击横向传播风险。并且,将信任域管理、放置策略选择、租户的身份认证以及租户间通信的加密等计算量均交由硬件层专用硬件承担。
为达到上述目的,本发明的技术方案如下:
一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理;基于云环境业务类型将云中计算节点划分信任域,为Hypervisor单独创建特殊信任域;Hypervisor为每个信任域建立信任域结构体和信任域管理线程;
步骤S2:当租户发起虚拟机或容器创建请求时,Hypervisor对其进行身份认证,并为租户的虚拟机或容器分配或创建信任域;
步骤S3:在信任域内,信任域管理线程根据放置策略对虚拟机或容器进行放置或选择计算节点,信任域管理线程维护租户表信息,Hypervisor维护信任域表信息;
步骤S4:在信任域间,不同租户的虚拟机或容器发起相互通信或向Hypervisor申请资源时,由Hypervisor进行身份认证并对其通信信道进行加解密防护。
进一步的,所述步骤S2包括以下子步骤:
根据租户提交申请的业务类型,Hypervisor查询信任域表检查该业务类型是否存在,若存在,则将该租户申请创建的虚拟机或容器分配进入相应信任域;若不存在,则根据业务类型需求量选择是否创建新信任域,若创建新信任域,则Hypervisor为新信任域分配适量计算节点,为信任域创建信任域结构体并将信任域加入信任域表;若不创建新信任域,则将该租户创建的虚拟机或容器放入默认信任域。
进一步的,所述S3包括以下子步骤:
当租户已存在租户表中时,检查信任域内剩余容量是否充足,若容量充足,则按放置策略PSSF对虚拟机或容器进行放置;若容量不足,信任域管理线程向Hypervisor发起扩容申请,扩容成功后按照PSSF策略进行放置;
当租户不存在租户表中时,检查信任域内空闲计算节点数量是否充足,若计算节点数量充足,将该租户的虚拟机或容器分配到空闲计算节点中;若计算节点数量不足,则根据放置策略计算同驻威胁值Threat,若同驻威胁值Threat较大,向Hypervisor申请增加计算节点。
进一步的,所述步骤S4中,Hypervisor对租户进行身份认证的流程包括以下步骤:
(1):租户向Hypervisor发起创建请求或申请资源请求,并将其令牌token放在请求头;
(2):Hypervisor检查该租户令牌token是否过期;
(3):若租户令牌过期,则Hypervisor退回申请并通知租户更新令牌token;新租户创建账号时或租户收到令牌更新通知时,租户发起令牌更新请求,Hypervisor根据租户发起申请的时间以及租户的ID和密码,使用动态令牌生成算法为租户生成唯一的动态令牌token,并重新计算该租户的哈希值;租户获得更新后的令牌token再重新发起申请;
(4):若租户令牌未过期,则Hypervisor根据租户的ID、密码和动态令牌token计算租户的哈希值,若租户身份验证通过,则根据租户的请求进行资源的分配;若租户身份验证失败,则返回租户的请求并记录租户的尝试次数。
进一步的,所述步骤S4中,不同租户的虚拟机或容器的通信认证过程包括以下步骤:
(1):租户A通过信任域管理线程向Hypervisor发出通信请求,并将其令牌token和通信对象地址放在请求头;
(2):Hypervisor向动态令牌服务器发起查询,检查该租户令牌token是否过期;
(3):动态令牌服务返回查询结果,若租户令牌过期则退回通信请求,若租户令牌未过期,则Hypervisor对租户的ID、密码和令牌token计算哈希值;计算完成后,Hypervisor生成通信密钥并发送给租户A;
(4):验证通过后,Hypervisor通过信任域管理线程通知租户B,租户B的虚拟机或容器将为此次通信分配相应内存以及CPU;若租户B仅接受数据则不进行身份认证,否则Hypervisor对租户B认证通过后再发送通信密钥KeyB;
(5):租户A和租户B的通信信道已建立成功,租户A和租户B分别使用其获得的密钥加解密数据。
进一步的,信任域内的放置策略通过以下步骤进行更新和分配:
(1):信任域管理线程对信任域内放置策略设置更新计时器,当更新计时器到期后,信任域向Hypervisor发起放置策略更新请求;
(2):Hypervisor对信任域管理线程认证通过后,启动放置策略调度程序;
(3):Hypervisor启动放置策略选择算法,通过计算比较不同策略在信任域内的同驻攻击传播风险和负载均衡值,从放置策略池中选择若干个较优的放置策略作为放置策略组合;
(4):Hypervisor将放置策略组合交付信任域管理线程,信任域执行放置策略组合,将所选若干策略以适当权重分别执行;
(5):信任域对虚拟机和容器执行相应放置策略。
一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御系统,用于实现上述基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,包括:控制器Controller、调度器Scheduler、加速器Accelerator、策略选择器Selector,控制器Controller分别与调度器Scheduler、加速器Accelerator进行通信;每个调度器Scheduler分别与若干主机节点通信,控制器Controller与信任域中信任域管理线程Control Thread进行通信,并管理信任域间租户的身份认证;调度器Scheduler负责为上层虚拟机分配相应的计算节点,并调度云环境中的其他资源供计算结点使用;加速器Accelerator承载上层虚拟机的数据通信、软件层信任域的划分与管理、身份认证计算量;策略选择器Selector定期对各信任域内的放置策略进行更新。
本发明还提供了一种基于Hypervisor硬件卸载的Hypervisor防护和管理方法,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理,将Hypervisor主体功能交付由专用硬件进行承担,专用硬件对Hypervisor进行硬件级隔离保护;
步骤S2:为Hypervisor代理单独创建特殊信任域,并将此信任域设置为最高保护等级,禁止任何其他租户的虚拟机或容器被分配进入到Hypervisor代理所在的信任域;
步骤S3:各租户的虚拟机和容器通过前端的Hypervisor代理与Hypervisor后端硬件引擎交互。
本发明还提供了一种基于Hypervisor硬件卸载的信任域划分方法,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理,将Hypervisor主体功能交付由专用硬件进行承担;
步骤S2:基于云环境业务类型将云中计算节点划分信任域;Hypervisor为每个信任域建立信任域结构体和信任域管理线程;
步骤S3:当租户发起虚拟机或容器创建请求时,Hypervisor对其进行身份认证,并为租户的虚拟机或容器分配或创建信任域;
步骤S4:信任域的计算节点数量和容量由Hypervisor进行动态管理;当信任域容量不足发起请求扩容申请时,其信任域管理线程与Hypervisor进行通信;Hypervisor代理周期性遍历信任域表,并对其中使用率小于使用阈值的信任域进行计算节点回收。
本发明还提供了一种基于负载Hypervisor的专用硬件的信任域管理和计算卸载方法,包括以下步骤:
步骤S1:在前端软件层留下信任域各主体功能的调用API,由Hypervisor前端代理进行统一管理;在前端软件层,Hypervisor代理能够设置各API权限,各信任域API被划入与Hypervisor代理同一信任域保护,信任域API视为Hypervisor代理的子功能;
步骤S2:在后端硬件层,各信任域功能模块由专用硬件统一调度,部分核心模块能够设置为Hypervisor后端引擎单向访问,信任域各模块的数据流由前端Hypervisor代理交付至各信任域管理线程。
与现有技术相比,本发明具有以下优点:
1)本发明公开了一种增加虚拟机或容器隔离性的信任域划分方法,基于逻辑区域信任域的划分,在不修改云环境软硬件的情况下,将业务相近的虚拟机或容器划分进入相同信任域,逻辑上增加了租户间的隔离性。
2)本发明在划分信任域时考虑了一些特殊的软件和应用的特点,对于普通虚拟机或容器应用划分为一般信任域进行隔离,对于Hypervisor代理等重要的控制程序采用特殊信任域进行保护,降低了恶意租户和Hypervisor同驻的概率,提高了云环境的安全性。
3)本发明对同驻攻击进行了分类,并加强了对第二和第三类同驻攻击的防御。Hypervisor硬件卸载后,其攻击面已大大减小,在此基础上,我们增加了信任域间的身份认证机制和加密机制。Hypervisor攻击面的减小降低了其被渗透和控制的概率,信任域间的认证和加密降低了同驻攻击的横向传播风险。
4)本发明充分利用了Hypervisor硬件卸载所带来的算力提升,将信任域的管理、放置策略的选择以及计算节点的分配等计算量同样交付专用硬件处理,降低了软件层Hypervisor代理的计算负载。
5)通过信任域划分的方式,将云环境中的不同类型的虚拟机划分进入不同的信任域,对于不同安全等级的虚拟机采用不同的安全保护措施,如对Hypervisor所在的信任域,需要隔绝任何虚拟机分配进入该信任域,并设置其他访问控制措施。
附图说明
图1为本发明实施例中基于信任域和Hypervisor硬件卸载的防御系统组成结构示意图。
图2为本发明实施例中基于负载Hypervisor的专用硬件的信任域管理和计算卸载示意图。
图3为本发明实施例中一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法的流程图。
图4为本发明实施例中基于硬件卸载Hypervisor的管理与维护的信任域创建、分配以及扩容流程示意图。
图5为本发明实施例中租户创建的虚拟机或容器的信任域分配流程示意图。
图6为本发明实施例中信任域内租户的虚拟机或容器放置计算节点分配流程示意图。
图7为本发明实施例中租户在信任域间通信或向Hypervisor申请资源时的身份认证流程示意图。
图8为本发明实施例中不同信任域的租户的虚拟机或容器发起通信的流程示意图。
图9为本发明实施例中信任域放置策略更新和分配流程示意图。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
本发明基于现有的虚拟机或容器放置策略,结合Hypervisor硬件卸载技术和信任域划分机制,提供了一种有效的同驻攻击防御方法。首先,针对第一类同驻攻击,根据租户的业务类型将其划分为不同的信任域,并在每个信任域内实施相应的放置策略组合。然后,对于第二类和第三类同驻攻击,Hypervisor硬件卸载后,负载Hypervisor功能的专用硬件带来了极大的算力提升,使得软件层Hypervisor具有较低的CPU占用率。因此我们引入信任域间的身份认证和加密机制并将这部分计算量交由专用硬件承担,从而使得可疑租户的虚拟机或容器难以跨域渗透Hypervisor并发动同驻攻击。
表1
为了方便理解本发明实施例,首先对本发明中所用符号及术语进行解释,如表1所示。
实施例一
如图1所示,本发明实施例提供了基于信任域和Hypervisor硬件卸载的防御系统组成结构。该系统包括:控制器Controller、调度器Scheduler、加速器Accelerator、策略选择器Selector,控制器Controller分别与调度器Scheduler、加速器Accelerator、各信任域(Trust Domain)进行通信。每个调度器Scheduler分别与若干主机节点(Host Node)通信。基于该系统架构实现基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法。
通过使用Hypervisor硬件卸载技术,将控制器Controller所承担的部分功能卸载给调度器Scheduler和加速器Accelerator。调度器Scheduler负责为上层虚拟机分配相应的计算节点,并调度云环境中的其他资源供计算结点使用;加速器Accelerator承载了上层虚拟机的数据通信计算量,软件层信任域的划分与管理以及身份认证等计算量也交由加速器Accelerator承担。
在信任域间增加了身份认证机制,租户的身份认证由控制器Controller进行管理。在信任域内,创建了信任域管理线程Control Thread,用于和控制器Controller进行通信,信任域的虚拟机放置策略采用动态调整的策略,由策略选择器Selector定期对各信任域内的放置策略进行更新。
实际实施例中,为了提升部署的简洁性以及节省成本,控制器Controller和选择器Selector可与软件层Hypervisor代理部署在同一计算节点,调度器Scheduler和加速器Accelerator的功能均可进行集成,并由专用硬件进行承载。
实施例二
如图2所示,本发明实施例提供的一种基于负载Hypervisor的专用硬件的信任域管理和计算卸载方法。
信任域的划分、信任域间通信的身份认证以及信任域计算节点动态分配的管理具有较大的计算量和存储需求,若不改变现有云环境配置而增加信任域机制,会极大地增加云环境的负载,显著提高信任域机制提供的安全成本。因此需要使用专用的硬件来负载信任域机制所带来的算力负荷。
承载Hypervisor的硬件设备如DPU等,在负载了Hypervisor的主体功能后仍然还能提供大量的算力。部分研究表明,专用硬件提供的高速算力处于大部分空闲的状态。因此,本实例使用专用硬件来承担信任域机制的计算负荷。与Hypervisor的硬件卸载类似,信任域各主体功能模块也卸载至专用硬件,在前端软件层留下各主体功能的调用API,由Hypervisor前端代理进行统一管理。其中,在前端软件层,Hypervisor代理可将各API设置为较高权限级,如可设置为仅各信任域管理线程可访问并调用,并且,各信任域API被划入与Hypervisor代理同一信任域保护,可以视为信任域API为Hypervisor代理的子功能;在后端硬件层,各信任域功能模块由专用硬件统一调度,对部分核心模块,可设置为Hypervisor后端引擎单向访问,信任域各模块的数据流由前端Hypervisor代理交付至各信任域管理线程。总体来看,信任域主体功能模块也可视为被硬件卸载。
信任域机制的核心模块交付专用硬件管理,前端保留的调用API与Hypervisor代理处于同一保护等级,与Hypervisor硬件卸载类似,信任域计算和管理卸载同样降低了信任域主体功能的代码体量,采用硬件隔离和防护的方式,提高了云环境下信任域机制的整体可靠性。
在具体实施例中,可以使用DPU对Hypervisor进行硬件卸载,具体步骤包括如下。
首先,使用Java语言编程实现信任域划分机制代码,可将信任域类TDomain、租户类Tenant两个核心类,以及信任域表TDomainList、租户表TenantList两个核心表采用DPU硬件存储;各租户的标识ID、身份认证令牌token以及身份令牌有效期映射表同样可由硬件存储。现存的大规模数据中心对于存储读取和写入的速率要求很高,在固态硬盘的价格下降后,主流数据中心均采用将固态硬盘通过本地PCIe或高速网络与系统相连接。在这种快速读写存储结构下,加入DPU对上层复杂数据结构进行卸载将进一步优化数据中心的处理性能。
然后,信任域间身份认证以及通信信道的加密计算等过程交付由DPU进行处理。在分布式系统下,数据中心将采用以RDMA技术为核心的网络通信技术,各信任域可以看成是逻辑上分布式的各功能体,信任域管理线程的交流可以采用RDMA技术实现,其底层计算由DPU来执行。这样,信任域间的通信可以免除复杂的软件层、虚拟化层和硬件层转换的开销,统一由硬件DPU进行调度管理。
最后,将信任域划分、信任域间身份认证和信任域计算节点划分三大主体模块集成于DPU处理器中。前端Hypervisor代理则开放虚拟机创建申请API、令牌申请API、信任域扩容API、身份认证请求API等诸多API的调用,若使用常见的Hypervisor如KVM、Xen等,可以辅助使用Libvirt库用于守护监听信任域管理线程的请求。DPU可以提供硬件级别的隔离能力,提供非常强大的单通道访问限制,信任域机制下的重要结构体将得到极大的安全防护,处于云环境软件层的恶意租户将极难对信任域的三大数据表进行篡改。在某些具有高安全性要求的情况下,还可以利用DPU在网络接口上对底层的数据表进行加密,例如国密标准的非对称加密算法SM2,哈希算法SM3和对称分组密码算法SM4等,均可交由DPU进行处理。
实施例三
如图3所示,本发明实施例提供的一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,包括以下步骤:
步骤S1:使用专用硬件对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理。根据租户业务类型将云中计算节点提前划分为多个信任域,为Hypervisor单独创建特殊信任域。Hypervisor为每一个信任域创建信任域结构体TDomain和信任域管理线程,并负责维护信任域表TDomainList。信任域管理线程负责维护其对应的结构体TDomain和租户表TenantList。图4展示了本步骤的具体流程,包括:
(1):使用DPU对Hypervisor进行硬件卸载,将Hypervisor大部分功能交由DPU进行处理,软件层仅保留轻量级Hypervisor代理。DPU对Hypervisor进行硬件级隔离保护。
以KVM-QEMU框架下的Hypervisor为例,经过卸载处理后,Hypervisor的前端与内核KVM模块进行交互,从而实现对虚拟机或容器的虚拟CPU和内存的分配。后端Hypervisor基于QEMU的QOM机制,完成虚拟设备的初始化,并通过Libvirt工具进行虚拟机或容器的生命周期管理。在前后端Hypervisor之间进行交互时,前端Hypervisor负责虚拟机和容器的I/O和内存映射,而后端Hypervisor则负责内存和虚拟CPU的资源分配和释放。
由于大部分I/O操作直接通过DPU直通到虚拟机或容器,前端Hypervisor代理几乎不需要进行I/O硬件设备的管理。同时,Hypervisor代理只需要支持运行虚拟CPU线程和管理服务代理程序即可,实现了软件层Hypervisor的精简化,从而实现了超低的CPU占用率。因此,信任域的创建、管理、维护以及租户的身份认证等任务都可以交由Hypervisor来完成。
(2):根据租户业务类型数据划分信任域。信任域的创建以及维护可以采取动态调整策略。首先创建Hypervisor及其他管理程序的特殊信任域TDomainH(将此信任域设置为最高保护等级,禁止任何其他租户的虚拟机或容器被分配进入到Hypervisor代理所在的信任域)以及默认信任域TDomainD,为默认信任域分配适量计算节点并设置计算节点上限阈值NodeNumPerTD。每当租户发起新类型的虚拟机或容器创建申请时,Hypervisor根据该业务类型的需求量选择是否创建新信任域。当信任域的使用率低于使用阈值时,Hypervisor云环境对于计算节点的需求动态回收该信任域的部分计算节点。
(3):Hypervisor负责创建并维护信任域表TDomainList,记录创建成功的所有信任域的信息。每当创建新信任域时,Hypervisor为该信任域创建信任域结构体TDomain,并创建该信任域的管理线程用于维护TDomain。在信任域申请扩容或调整信任域计算节点数量时,管理线程与Hypervisor进行交互。每创建一个新信任域TDomain,Hypervisor将信任域TDomain加入TDomainList中,并维护TDomainList信息。Hypervisor将按照一定周期遍历TDomainList,并对其中使用率小于使用阈值的信任域进行计算节点回收。
(4):对于实际已有租户的云环境中,可使用随机森林、决策树和K-means聚类等机器学习算法进行租户的信任域的划分。具体地,可根据租户创建的虚拟机或容器数量,租户虚拟机或容器的主要功能、租户虚拟机或容器的生命周期,虚拟机或容器所包含的微服务类型等因素进行业务类型划分。最终分类完成后形成的各个集簇划分为单独的信任域,分类完成后不属于任何集簇的则作为离群点租户划分进入默认信任域。
步骤S2:当租户发起虚拟机或容器创建请求时,Hypervisor先对其进行身份验证。根据租户提交申请的业务类型,Hypervisor查询信任域表TDomainList检查该业务类型是否存在,若存在,则将该租户申请创建的虚拟机或容器分配进入相应信任域;若不存在,则根据业务类型需求量选择是否创建新信任域,若不创建新信任域,则将该租户创建的虚拟机或容器放入默认信任域TDomainD。图5展示了本步骤的具体流程,包括:
(1):租户发起创建虚拟机或容器申请。
(2):Hypervisor对租户进行身份验证后,遍历信任域表TDomainList查询租户提交的业务类型Btype是否已存在。
(3):若TDomainList查询失败,则该类型信任域不存在。Hypervisor进行业务类型需求量评估,具体地,可根据租户申请创建该类型虚拟机或容器的数量,该类型虚拟机或容器包含的微服务种类数量和该类型虚拟机或容器的生命周期长短等因素判断是否创建该业务类型的信任域。若Hypervisor评估后认为暂无必要创建该类型信任域,则将租户创建的虚拟机或容器分配进入默认信任域TDomainD。若创建新信任域,则Hypervisor为新信任域分配适量计算节点,为信任域创建信任域结构体TDomain,记录业务类型为Btype,并将信任域加入信任列表TDomainList。
(4):若TDomainList查询成功,则该类型信任域已存在。Hypervisor将租户的虚拟机或容器分配进入该信任域。
实际云环境中,Hypervisor并没有真正执行分配信任域的操作,而是将租户申请创建的虚拟机或容器所属信任域修改为信任域编号,并将虚拟机或容器部署于属于该信任域的计算节点,最后维护相应信任域表TDomainList和租户表TenantList的信息。
步骤S3:在信任域内,根据TenantList判断该租户在此信任域内是否已有虚拟机或容器。若该信任域内已有该租户的虚拟机或容器,则检查信任域剩余容量TCapacity-UCapacity是否足够,若容量足够,则根据放置策略进行选择计算节点,否则向Hypervisor发出信任域扩容申请;若该信任域内没有该租户的虚拟机或容器,或者放置该租户的虚拟机或容器的计算节点容量不足,则为该租户分配一个空闲计算节点,信任域管理线程维护计算结点总数量NodeTotalNum和计算结点已使用数量NodeUsedNum值。图6展示了本步骤的具体流程,包括:
(1):遍历租户表TenantList查询该租户是否已有虚拟机或容器存在于该信任域中。
(2):若TenantList查询成功,则该租户已存在。为了减少同驻攻击的威胁,根据优化的放置策略PSSF,应优先放置于已部署该租户虚拟机或容器的计算节点。检查信任域内剩余容量(TCapacity-UCapacity)是否充足,若容量充足,则按放置策略PSSF对虚拟机或容器进行放置;若容量不足,信任域管理线程向Hypervisor发起扩容申请,扩容成功后,同样按照PSSF策略进行放置。
(3):若TenantList查询失败,则该租户不存在。为了减少同驻攻击的威胁,根据在已有策略基础上优化的放置策略PSSF,应将该租户的虚拟机或容器放置于空闲计算节点中。检查信任域内空闲计算节点数量(NodeTotalNum-NodeUsedNum)是否充足,若计算节点数量充足,将该租户的虚拟机或容器分配到空闲计算节点中;若计算节点数量不足,则根据放置策略计算同驻威胁值Threat,若同驻威胁值Threat较大,仍可选择向Hypervisor申请增加计算节点。信任域管理线程维护计算结点总数量NodeTotalNum和计算结点已使用数量NodeUsedNum值。
(4):虚拟机或容器放置成功后,信任域管理线程维护租户表TenantList信息,Hypervisor维护信任域表TDomainList信息。
步骤S4:在信任域间,不同租户的虚拟机或容器相互通信前需使用动态令牌token进行身份认证。任意租户的虚拟机或容器向Hypervisor申请资源时都需要进行身份认证。每个租户在创建账号时会分配唯一的ID号,token令牌的生成根据租户ID、密码以及认证的时间进行生成,token令牌生成后保留一段时间的有效期。虚拟机或容器发起通信或向Hypervisor申请资源都需要将token放在报文请求头。
图7展示了Hypervisor对租户进行身份认证的流程,具体包括如下步骤:
(1):租户向Hypervisor发起创建请求或申请资源请求,并将其令牌token放在请求头。
(2):Hypervisor检查该租户令牌token是否过期,具体地,Hypervisor可通过遍历租户表TenantList查询到该租户的信息,并检查该租户的令牌是否仍然有效。
(3):若租户令牌过期,则Hypervisor退回申请并通知租户更新令牌token。新租户创建账号时或租户收到令牌更新通知时,租户发起令牌更新请求,Hypervisor根据租户发起申请的时间以及租户的ID和密码,使用动态令牌生成算法为租户生成唯一的动态令牌token,并重新计算该租户的哈希值。租户获得更新后的令牌token再重新发起申请。
(4):若租户令牌未过期,则Hypervisor根据租户的ID、密码和动态令牌token计算租户的哈希值,若租户身份验证通过,则根据租户的请求进行资源的分配;若租户身份验证失败,则返回租户的请求并记录租户的尝试次数。
在具体实施例中,动态令牌生成算法可以采用二次哈希算法,首先将租户的ID以及密码进行计算哈希得到哈希值HashA,然后将HashA和租户请求申请的时间计算第二次哈希得到HashB,最终得到的HashB则作为租户此次申请的动态令牌token。二次哈希极大增加了攻击者伪造动态令牌的难度,第二次计算哈希值加入请求时间使得最终计算出的哈希值具有唯一性,可以防止重放攻击。
图8展示了不同信任域下属于不同租户的虚拟机或容器的通信认证过程,具体如下:
(1):租户A通过信任域管理线程向Hypervisor发出通信请求,并将其令牌token和通信对象地址放在请求头。
(2):Hypervisor向动态令牌服务器发起查询,检查该租户令牌token是否过期。
(3):动态令牌服务返回查询结果,若租户令牌过期则退回通信请求,若租户令牌未过期,则Hypervisor对租户的ID、密码和令牌token计算Hash值。计算完成后,Hypervisor生成通信密钥KeyA并发送给租户A。
(4):验证通过后,Hypervisor通过信任域管理线程通知租户B,租户B的虚拟机或容器将为此次通信分配相应内存以及CPU。若租户B仅接受数据则不进行身份认证,否则Hypervisor对租户B认证通过后再发送通信密钥KeyB。
(5):租户A和租户B的通信信道已建立成功,租户A和租户B分别使用其获得的密钥加解密数据。
如图9所示,本实施例还提供了一种信任域内的放置策略更新和分配方法,具体如下:
(1):信任域管理线程对信任域内放置策略设置更新计时器,当更新计时器到期后,信任域向Hypervisor发起放置策略更新请求。
(2):Hypervisor对信任域管理线程认证通过后,启动放置策略调度程序。
(3):Hypervisor启动放置策略选择算法,通过计算比较不同策略在信任域内的同驻攻击传播风险和负载均衡值,从放置策略池中选择若干个较优的放置策略作为放置策略组合。
(4):Hypervisor将放置策略组合交付信任域管理线程,信任域执行放置策略组合,将所选若干策略以适当权重分别执行。
(5):信任域对虚拟机和容器执行相应放置策略。
在具体实施例中,为了降低Hypervisor与信任域的计算负载,上述步骤(3)中的放置策略选择算法可以采用随机选择算法;为了放置策略的优势被充分利用以及避免放置策略之间的干扰,上述步骤(3)可以仅从放置策略池中选择一个放置策略,作为信任域内此更新周期的放置策略。
本发明公开了一种同驻攻击的防御方法,在不修改云环境的软硬件的情况下,通过划分逻辑区域的方式降低了同驻攻击的传播风险,增强了云环境中计算节点的隔离性。通过使用Hypervisor硬件卸载技术,极大降低了Hypervisor被渗透的风险,从而直接减少了第二类和第三类同驻攻击的威胁。
本发明在进行信任域划分时充分考虑了虚拟机或容器所运行应用的业务类型,根据“同类相聚,异类相隔”的原则对各租户的虚拟机和容器进行了划分。每个信任域可以被视为一个微型的云环境,在各个信任域内同样使用优化的虚拟机或容器放置策略,以降低信任域内的同驻风险。
本发明在信任域间建立了身份认证机制,不同信任域的虚拟机或容器发起相互通信需要进行身份认证。该机制极大地阻隔了同驻攻击在云环境下的横向传播,提升了云服务的可靠性。
本发明在进行信任域计算结点分配时没有盲目地分配定量计算节点,而是使用动态调整、按需分配的策略,均衡了各信任域间的负载,提高了资源利用率。
需要说明的是,以上内容仅仅说明了本发明的技术思想,不能以此限定本发明的保护范围,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰均落入本发明权利要求书的保护范围之内。
Claims (10)
1.一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理;基于云环境业务类型将云中计算节点划分信任域,为Hypervisor单独创建特殊信任域;Hypervisor为每个信任域建立信任域结构体和信任域管理线程;
步骤S2:当租户发起虚拟机或容器创建请求时,Hypervisor对其进行身份认证,并为租户的虚拟机或容器分配或创建信任域;
步骤S3:在信任域内,信任域管理线程根据放置策略对虚拟机或容器进行放置或选择计算节点,信任域管理线程维护租户表信息,Hypervisor维护信任域表信息;
步骤S4:在信任域间,不同租户的虚拟机或容器发起相互通信或向Hypervisor申请资源时,由Hypervisor进行身份认证并对其通信信道进行加解密防护。
2.根据权利要求1所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,所述步骤S2包括以下子步骤:
根据租户提交申请的业务类型,Hypervisor查询信任域表检查该业务类型是否存在,若存在,则将该租户申请创建的虚拟机或容器分配进入相应信任域;若不存在,则根据业务类型需求量选择是否创建新信任域,若创建新信任域,则Hypervisor为新信任域分配适量计算节点,为信任域创建信任域结构体并将信任域加入信任域表;若不创建新信任域,则将该租户创建的虚拟机或容器放入默认信任域。
3.根据权利要求1所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,所述S3包括以下子步骤:
当租户已存在租户表中时,检查信任域内剩余容量是否充足,若容量充足,则按放置策略PSSF对虚拟机或容器进行放置;若容量不足,信任域管理线程向Hypervisor发起扩容申请,扩容成功后按照PSSF策略进行放置;
当租户不存在租户表中时,检查信任域内空闲计算节点数量是否充足,若计算节点数量充足,将该租户的虚拟机或容器分配到空闲计算节点中;若计算节点数量不足,则根据放置策略计算同驻威胁值Threat,若同驻威胁值Threat较大,向Hypervisor申请增加计算节点。
4.根据权利要求1所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,所述步骤S4中,Hypervisor对租户进行身份认证的流程包括以下步骤:
(1):租户向Hypervisor发起创建请求或申请资源请求,并将其令牌token放在请求头;
(2):Hypervisor检查该租户令牌token是否过期;
(3):若租户令牌过期,则Hypervisor退回申请并通知租户更新令牌token;新租户创建账号时或租户收到令牌更新通知时,租户发起令牌更新请求,Hypervisor根据租户发起申请的时间以及租户的ID和密码,使用动态令牌生成算法为租户生成唯一的动态令牌token,并重新计算该租户的哈希值;租户获得更新后的令牌token再重新发起申请;
(4):若租户令牌未过期,则Hypervisor根据租户的ID、密码和动态令牌token计算租户的哈希值,若租户身份验证通过,则根据租户的请求进行资源的分配;若租户身份验证失败,则返回租户的请求并记录租户的尝试次数。
5.根据权利要求1所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,所述步骤S4中,不同租户的虚拟机或容器的通信认证过程包括以下步骤:
(1):租户A通过信任域管理线程向Hypervisor发出通信请求,并将其令牌token和通信对象地址放在请求头;
(2):Hypervisor向动态令牌服务器发起查询,检查该租户令牌token是否过期;
(3):动态令牌服务返回查询结果,若租户令牌过期则退回通信请求,若租户令牌未过期,则Hypervisor对租户的ID、密码和令牌token计算哈希值;计算完成后,Hypervisor生成通信密钥并发送给租户A;
(4):验证通过后,Hypervisor通过信任域管理线程通知租户B,租户B的虚拟机或容器将为此次通信分配相应内存以及CPU;若租户B仅接受数据则不进行身份认证,否则Hypervisor对租户B认证通过后再发送通信密钥KeyB;
(5):租户A和租户B的通信信道已建立成功,租户A和租户B分别使用其获得的密钥加解密数据。
6.根据权利要求1所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,信任域内的放置策略通过以下步骤进行更新和分配:
(1):信任域管理线程对信任域内放置策略设置更新计时器,当更新计时器到期后,信任域向Hypervisor发起放置策略更新请求;
(2):Hypervisor对信任域管理线程认证通过后,启动放置策略调度程序;
(3):Hypervisor启动放置策略选择算法,通过计算比较不同策略在信任域内的同驻攻击传播风险和负载均衡值,从放置策略池中选择若干个较优的放置策略作为放置策略组合;
(4):Hypervisor将放置策略组合交付信任域管理线程,信任域执行放置策略组合,将所选若干策略以适当权重分别执行;
(5):信任域对虚拟机和容器执行相应放置策略。
7.一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御系统,用于实现权利要求1-7中任意一项所述的基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,包括:控制器Controller、调度器Scheduler、加速器Accelerator、策略选择器Selector,控制器Controller分别与调度器Scheduler、加速器Accelerator进行通信;每个调度器Scheduler分别与若干主机节点通信,控制器Controller与信任域中信任域管理线程Control Thread
进行通信,并管理信任域间租户的身份认证;调度器Scheduler负责为上层虚拟机分配相应的计算节点,并调度云环境中的其他资源供计算结点使用;加速器Accelerator承载上层虚拟机的数据通信、软件层信任域的划分与管理、身份认证计算量;策略选择器Selector定期对各信任域内的放置策略进行更新。
8.一种基于Hypervisor硬件卸载的Hypervisor防护和管理方法,其特征在于,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理,将Hypervisor主体功能交付由专用硬件进行承担,专用硬件对Hypervisor进行硬件级隔离保护;
步骤S2:为Hypervisor代理单独创建特殊信任域,并将此信任域设置为最高保护等级,禁止任何其他租户的虚拟机或容器被分配进入到Hypervisor代理所在的信任域;
步骤S3:各租户的虚拟机和容器通过前端的Hypervisor代理与Hypervisor后端硬件引擎交互。
9.一种基于Hypervisor硬件卸载的信任域划分方法,其特征在于,包括以下步骤:
步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理,将Hypervisor主体功能交付由专用硬件进行承担;
步骤S2:基于云环境业务类型将云中计算节点划分信任域;Hypervisor为每个信任域建立信任域结构体和信任域管理线程;
步骤S3:当租户发起虚拟机或容器创建请求时,Hypervisor对其进行身份认证,并为租户的虚拟机或容器分配或创建信任域;
步骤S4:信任域的计算节点数量和容量由Hypervisor进行动态管理;当信任域容量不足发起请求扩容申请时,其信任域管理线程与Hypervisor进行通信;Hypervisor代理周期性遍历信任域表,并对其中使用率小于使用阈值的信任域进行计算节点回收。
10.一种基于负载Hypervisor的专用硬件的信任域管理和计算卸载方法,其特征在于,包括以下步骤:
步骤S1:在前端软件层留下信任域各主体功能的调用API,由Hypervisor前端代理进行统一管理;在前端软件层,Hypervisor代理能够设置各API权限,各信任域API被划入与Hypervisor代理同一信任域保护,信任域API视为Hypervisor代理的子功能;
步骤S2:在后端硬件层,各信任域功能模块由专用硬件统一调度,部分核心模块能够设置为Hypervisor后端引擎单向访问,信任域各模块的数据流由前端Hypervisor代理交付至各信任域管理线程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311720961.5A CN117714149B (zh) | 2023-12-14 | 2023-12-14 | 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311720961.5A CN117714149B (zh) | 2023-12-14 | 2023-12-14 | 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117714149A true CN117714149A (zh) | 2024-03-15 |
CN117714149B CN117714149B (zh) | 2024-05-14 |
Family
ID=90158434
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311720961.5A Active CN117714149B (zh) | 2023-12-14 | 2023-12-14 | 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117714149B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102055769A (zh) * | 2010-12-29 | 2011-05-11 | 北京理工大学 | 一种基于格的网格环境下多信任域认证系统 |
EP2333663A2 (en) * | 2009-12-10 | 2011-06-15 | Empire Technology Development LLC | Method and device for providing access to physical resources in a virtual machine environment |
US20140281560A1 (en) * | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Secure zone on a virtual machine for digital communications |
CN104598842A (zh) * | 2015-02-03 | 2015-05-06 | 中国电子科技集团公司第三十研究所 | 一种虚拟机监控器信任域分割方法 |
CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
CN114978697A (zh) * | 2022-05-24 | 2022-08-30 | 中电科网络空间安全研究院有限公司 | 一种网络信息系统内生安全防御方法、装置、设备及介质 |
CN115858084A (zh) * | 2021-09-24 | 2023-03-28 | 英特尔公司 | 用于扩展受信任域的技术 |
-
2023
- 2023-12-14 CN CN202311720961.5A patent/CN117714149B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2333663A2 (en) * | 2009-12-10 | 2011-06-15 | Empire Technology Development LLC | Method and device for providing access to physical resources in a virtual machine environment |
CN102055769A (zh) * | 2010-12-29 | 2011-05-11 | 北京理工大学 | 一种基于格的网格环境下多信任域认证系统 |
US20140281560A1 (en) * | 2013-03-15 | 2014-09-18 | Ologn Technologies Ag | Secure zone on a virtual machine for digital communications |
CN104598842A (zh) * | 2015-02-03 | 2015-05-06 | 中国电子科技集团公司第三十研究所 | 一种虚拟机监控器信任域分割方法 |
CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
CN115858084A (zh) * | 2021-09-24 | 2023-03-28 | 英特尔公司 | 用于扩展受信任域的技术 |
CN114978697A (zh) * | 2022-05-24 | 2022-08-30 | 中电科网络空间安全研究院有限公司 | 一种网络信息系统内生安全防御方法、装置、设备及介质 |
Non-Patent Citations (2)
Title |
---|
HAOYU GAO; LEIXIAO LI; HAO LIN; JIANXIONG WAN; DAN DENG; JIE LI: "DECH: A Novel Attack Pattern of Cloud Environment and Its Countermeasures", 2021 IEEE 5TH INTERNATIONAL CONFERENCE ON CRYPTOGRAPHY, SECURITY AND PRIVACY (CSP), 25 February 2021 (2021-02-25) * |
汪自旺: "基于可信执行环境的移动平台安全防护技术研究", 中国优秀硕士学位论文全文数据库信息科技辑, 15 February 2023 (2023-02-15) * |
Also Published As
Publication number | Publication date |
---|---|
CN117714149B (zh) | 2024-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9626502B2 (en) | Method and system for enterprise network single-sign-on by a manageability engine | |
US9288193B1 (en) | Authenticating cloud services | |
US9760712B2 (en) | Application whitelisting using user identification | |
Afoulki et al. | A security-aware scheduler for virtual machines on iaas clouds | |
US12039356B2 (en) | Method for virtual machine migration with checkpoint authentication in virtualization environment | |
CN110012074B (zh) | 一种云环境可信上下文管理方法 | |
CN110113369A (zh) | 一种基于角色权限控制的鉴权方法 | |
Jia et al. | Security strategy for virtual machine allocation in cloud computing | |
WO2012129904A1 (zh) | 一种虚拟机系统的访问控制方法和系统 | |
JP2010500694A (ja) | 仮想セキュリティモジュールのアーキテクチャ | |
US12072990B2 (en) | Multiple physical request interfaces for security processors | |
CN106354687A (zh) | 一种数据传输方法及系统 | |
CN112182560B (zh) | 针对Intel SGX内部高效的隔离方法、系统及介质 | |
US12086620B2 (en) | Method for virtual machine migration with artificial intelligence accelerator status validation in virtualization environment | |
CN111416713B (zh) | 基于tee的密码服务资源安全扩展方法及系统 | |
US11563745B2 (en) | Method for data protection in a data processing cluster with policy-based partition | |
CN113472820A (zh) | 一种基于零信任模型的云资源安全隔离控制方法及系统 | |
CN103347073B (zh) | 一种云管理行为安全控制方法和系统 | |
CN113179285B (zh) | 视频物联网高性能密码服务方法、装置和系统 | |
Long et al. | Group instance: Flexible co-location resistant virtual machine placement in iaas clouds | |
CN117714149B (zh) | 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 | |
US11507408B1 (en) | Locked virtual machines for high availability workloads | |
US11687376B2 (en) | Method for data protection in a data processing cluster with dynamic partition | |
US11847501B2 (en) | Method for data protection in a data processing cluster with partition | |
EP4155957A1 (en) | Method for managing access by a thread to a slave device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |